Security Frameworks 安全框架
帮组织系统性地建立安全计划、降低数据和隐私风险的指南体系。告诉你”该做什么”的完整地图。
为什么需要框架而不是单点防御:
- 不知道从哪开始 → 框架给一个起点
- 缺什么不缺什么没数 → 框架是完整 checklist
- 跟领导/客户/审计沟通 → 用共同语言
- 跨团队协调 → 减少 “我以为他做了” 的盲区
主流 Security Frameworks
| 框架 | 来源 | 特点 |
|---|---|---|
| NIST CSF | 美国 NIST | 自愿性,业界最广用,中层”地图” |
| ISO 27001 / 27002 | ISO 国际标准 | 可认证,适合合规导向 |
| CIS Controls | CIS | 具体的 18 项技术控制,实战导向 |
| COBIT | ISACA | 偏 IT 治理(Governance),侧重业务对齐 |
| MITRE ATT&CK | MITRE | 攻击战术战法库,防御方反向参考 |
| OWASP | OWASP | 主要针对 Web 应用安全 |
框架 vs 标准 vs 控制 vs 政策
容易混,记一下层次:
- Framework(框架) —— 最顶层”地图”(NIST CSF)
- Standard(标准) —— 具体技术规范(ISO 27001)
- Control(控制) —— 单个保护措施(MFA / 加密)
- Policy(政策) —— 公司内部规则文档(“员工不得分享密码”)
- Procedure(流程) —— 具体执行步骤(“锁门 → 打卡 → 启用 VPN”)
选哪个?
- 新公司起步: 从 CIS Controls Top 5(IG1)开始,实战又实在
- 追求合规认证: ISO 27001
- 美国市场客户多: SOC 2 + NIST CSF
- 政府关键基础设施: NIST CSF + NIST 800-53
参见 Compliance 了解法规驱动的合规要求。